Canonical釋出用於Raspberry Pi 2的Ubuntu 17.10重大更新,以修正存在的21項安全性漏洞,包括在Linux核心ALSA PCM子系統與網路命名空間實作的釋放後使用漏洞,還有核心鑰匙圈的授權控管等安全性問題,官方呼籲使用者立即更新。

4月4日官方釋出了Linux-raspi2的Ubuntu 17.10更新,這次的重大更新一次修正了21項安全漏洞。Ubuntu之前版本存在兩個記憶體釋放後使用的漏洞,其一是在Linux核心ALSA PCM子系統,其二是在網路命名空間實作,本機端攻擊者可以用來讓系統崩潰或是執行任意程式碼。

這次同時也修正了一系列驅動程式造成的安全性問題,包括Linux核心usbtest設備驅動程式,以及SoundGraph iMON USB、IMS乘客控制單元USB、DiBcom DiB0700 USB DVB、ASIX乙太網路USB、CDC USB乙太網路、QMI WWAN USB和Broadcom NetXtremeII乙太網路驅動程式中的各種問題,這些安全性漏洞允許在實體接近的攻擊者使服務失效與系統崩潰。

發生在Linux核心的OCF32檔案系統,以及循環區塊裝置實做的競態條件,因不受控的事件出現順序,可能導致系統死當、崩潰,甚至讓攻擊者有機可趁執行任意程式碼。

Linux核心的KVM實做,當處理記憶體映射I/O時,存在越界讀取漏洞,可能讓攻擊者讀取敏感資訊。另外,攻擊者能使用Salsa20加密算法、RDS(Reliable Datagram Socket)與HMAC實作漏洞,造成系統崩潰或是服務失效。還有在Linux核心的RDS協定中,指標反參照漏洞,也會造成系統崩潰以及任意程式碼執行。

還有Linux核心的鑰匙圈並未在金鑰請求時,正確的檢查權限,將導致攻擊者可以增加未授權金鑰於鑰匙圈中。這次修補多個Linux核心中的安全性漏洞,官方呼籲使用者,應儘速更新以減少系統被攻擊的機會。


Advertisement

更多 iThome相關內容